使用 IP 网络防火墙配置 Azure 托管 HSM 的网络设置

本文提供了有关如何使用 IP 网络防火墙配置Azure 密钥保管库托管 HSM 网络设置以与其他应用程序和Azure服务配合使用的分步指南。有关不同网络安全配置和概念的详细信息，请参阅 Azure 密钥保管库托管 HSM 的网络安全性。

下面是使用 Azure 门户、Azure CLI和Azure PowerShell配置托管 HSM 防火墙的分步说明。

重要

可以为每个资源添加 10 个 IP 地址或地址范围的限制。

下面介绍如何使用 Azure 门户配置托管 HSM 防火墙：

浏览到要保护的托管 HSM。
依次选择 Networking，然后选择 Public access 选项卡。
在 Public network access 下，选择 Manage。
若要将 IP 地址添加到防火墙，在 Public network access 旁边，选择 enable，然后选择 Default action，从所选网络选择 Enable。
在 IP 网络下，通过在 CIDR（无类域间路由）表示法或单个 IP 地址中键入 IPv4 地址范围来添加 IPv4 地址范围。
如果要允许Azure受信任的服务绕过托管 HSM 防火墙，请选择 Yes。有关当前托管 HSM 受信任服务的完整列表，请参阅 Azure 密钥保管库受信任服务。
选择“保存”。

下面介绍如何使用 Azure CLI配置托管 HSM 防火墙：

使用 az keyvault update-hsm 命令在创建防火墙之前将默认操作设置为“拒绝”。

az keyvault update-hsm --resource-group "<resource-group>" --hsm-name "<hsm-name>" --default-action Deny

使用 az keyvault network-rule add 命令来添加一个 IP 地址范围以允许流量。

az keyvault network-rule add --resource-group "<resource-group>" --hsm-name "<hsm-name>" --ip-address "<ip-address-range>"

如果任何受信任的服务需要访问此密钥保管库，请使用 az keyvault update 命令将绕过设置为 AzureServices。
```
az keyvault update --resource-group "<resource-group>" --hsm-name "<hsm-name>" --bypass AzureServices
```

下面介绍如何使用 PowerShell 配置托管 HSM 防火墙：

安装最新的Azure PowerShell并登录。
使用 Update-AzKeyVaultManagedHsmNetworkRuleSet cmdlet 将默认动作设置为 Deny，并添加 IP 地址范围以允许流量。
```
Update-AzKeyVaultManagedHsmNetworkRuleSet -Name "<hsm-name>" -ResourceGroupName "<resource-group>" -DefaultAction Deny -IpAddressRange @('<ip-address-range>') -PassThru 
```
包括 -ReplaceAllRules 以覆盖 IP 列表。否则，该命令将合并新包含的规则。
如果任何受信任的服务需要访问此托管 HSM，请使用 Update-AzKeyVaultManagedHsmNetworkRuleSet cmdlet 将旁路设置为 AzureServices。
```
Update-AzKeyVaultManagedHsmNetworkRuleSet -Name "<hsm-name>" -Bypass AzureServices
```

后续步骤